Kritická chyba zabezpečení týkající se padělání požadavků na straně serveru (SSRF), označená jako CVE-2024-21893, byla nedávno zneužívána v alarmujícím měřítku v produktech Ivanti Connect Secure a Policy Secure. Tato zranitelnost vyvolala v komunitě kybernetické bezpečnosti značné obavy kvůli pokusům o hromadné zneužití a potenciálu neoprávněného přístupu, včetně vytvoření reverzního shellu.
Podrobnosti o využívání CVE-2024-21893
Zneužití se konkrétně zaměřuje na CVE-2024-21893, chybu SSRF v komponentě Security Assertion Markup Language (SAML) produktů Ivanti. Tato chyba zabezpečení umožňuje útočníkům přístup k omezeným prostředkům bez ověření. Nadace Shadowserver Foundation oznámila prudký nárůst pokusů o zneužití pocházejících z více než 170 různých IP adres, což zdůraznilo závažnost situace.
Zejména společnost Rapid7 zabývající se kybernetickou bezpečností vydala exploit proof-of-concept (PoC), který kombinuje CVE-2024-21893 s CVE-2024-21887, což je dříve opravená chyba vkládání příkazů. Tato kombinace usnadňuje neověřené vzdálené spuštění kódu a zvyšuje rizika spojená s touto chybou zabezpečení.
Krajina vykořisťování a rizika
Situaci zhoršuje využívání zastaralých open-source komponent v zařízeních Ivanti VPN, jak zdůraznil bezpečnostní výzkumník Will Dormann. Využitá zranitelnost SSRF (CVE-2024-21893) je spojena s open-source knihovnou Shibboleth XMLTooling, která byla vyřešena v červnu 2023.
Aktéři hrozeb situaci rychle využili a zprávy společnosti Mandiant vlastněné společností Google odhalovaly zneužívání CVE-2023-46805 a CVE-2024-21887. Tyto exploity byly použity k nasazení různých vlastních webových shellů, včetně BUSHWALK, CHAINLINE, FRAMESTING a LIGHTWIRE.
Globální expozice a odezva
Zjištění Palo Alto Networks Unit 42 naznačují znepokojivou globální expozici, přičemž mezi 28,474. a 145. lednem 26 bylo zjištěno 30 2024 případů Ivanti Connect Secure a Policy Secure ve 610 zemích. Kromě toho bylo k 44. lednu 23 ve 2024 zemích identifikováno XNUMX napadených případů. .
V reakci na stupňující se hrozby přijala společnost Ivanti opatření k odstranění zranitelnosti. Uvolnili druhý soubor zmírnění a zahájili distribuci oficiálních oprav od 1. února 2024. Organizace jsou vyzývány, aby tyto opravy urychleně použily a zavedly přísná bezpečnostní opatření ke zmírnění rizik, která taková zranitelnost a zneužití PoC představují.
Nejlepší postupy pro prevenci
Aby se zabránilo budoucím infekcím a zabezpečení systémů, měly by organizace přijmout následující osvědčené postupy:
- Okamžitě aplikujte opravy: Pravidelně aktualizujte a aplikujte bezpečnostní záplaty poskytované dodavateli softwaru k odstranění známých zranitelností.
- Průběžné sledování: Implementujte nepřetržité monitorování podezřelých aktivit a potenciálních bezpečnostních hrozeb v rámci sítě.
- Školení povědomí o bezpečnosti: Provádějte pravidelná školení v oblasti povědomí o bezpečnosti pro zaměstnance, aby mohli rozpoznat a nahlásit potenciální hrozby.
- Segmentace sítě: Použijte segmentaci sítě, abyste omezili dopad potenciálních narušení a izolovali kritické systémy.
- Využijte pokročilou inteligenci hrozeb: Využijte pokročilé zpravodajství o hrozbách, abyste byli informováni o nových hrozbách a zranitelnostech.
Dodržováním těchto osvědčených postupů mohou organizace zlepšit svou pozici v oblasti kybernetické bezpečnosti a snížit riziko, že se stanou obětí zneužití zaměřených na kritická zranitelnosti, jako je CVE-2024-21893 v Ivanta produkty. Ostražitost, proaktivní bezpečnostní opatření a včasné reakce jsou v dnešním vyvíjejícím se prostředí hrozeb zásadní.